GDPR (General Data Protection Regulation) je nařízení Evropské unie ohledně správy osobních dat, jehož cílem je hájit digitální práva občanů. Pokud se vás novinky s ním spojené týkají, což je v současnosti velmi pravděpodobné, ale zatím nemáte o svých dalších krocích jasno, přinášíme vám zde sedm praktických rad, jak postupovat a být na GDPR připraveni.
1. Získejte dostatek informací
První bod zní možná banálně, ale nemůžeme ho vynechat: Získejte dostatek informací. Jedná se komplexní změnu pravidel, proto je potřeba pečlivě prostudovat, jak postupovat dále. Pokud si nejste dostatečně jisti, co přesně pro vaše podnikání, firmu nové nařízení znamená, nechejte si poradit od odborníka. Sankce při porušení nařízení jsou vysoké. Lepší je proto této situaci předejít a informovat se ohledně GDPR například u právních kanceláří, které se tématem zabývají.
2. Zmapujte současný systém sběru dat a zpracování osobních údajů
A teď už pojďme ke konkrétním krokům: Je vhodné zjistit, jak funguje současný systém zpracování osobních dat a provést jejich analýzu. To potvrzuje také Martina Höferová, ředitelka pro oblast produktů První klubové pojišťovny. „Naše společnost vznikala v době, kdy sice ještě neexistovala evropská směrnice GDPR, ale i tak již byla v českém právním řádu stanovena vysoká ochrana osobních údajů a nakládání s nimi. Ale i v naší společnosti samozřejmě probíhá mapování způsobů zpracování osobních údajů a navazující postupná implementace zjištěných odchylek od nového evropského nařízení.” Neměli byste zapomenout na všechny oblasti vašeho byznysu, ve kterých se pracuje s osobními údaji. Například personalistika, seznamy dodavatelů a odběratelů. Zapojte do procesu analýzy všechny oddělení bez rozdílu a analyzujte využívání dat vždy shora dolů.
3. Zřiďte důležité orgány správy vašich firemních dat
Podle nařízení GDPR musí mít větší firmy nad 250 zaměstnanců pověřence pro ochranu osobních údajů (DPO). „Pověřenec pro ochranu osobních údajů je osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů,” přiblížil činnost DPO David Vavřínka, advokát LP Legal. Pokud vaše firma nemá povinnost DPO mít, přesto pověřte určitou osobu či oddělení v rámci firmy, která bude mít nová nařízení ohledně správy osobních údajů na starosti.
4. Vytvořte nové procesy správy dat
Díky GDPR si můžete udělat pořádek v datech a můžete tak i zefektivnit současné postupy práce s nimi. V dnešní době jen málokterá firma řídí svá data na dobré úrovni a reaguje tak na digitalizaci. S GDPR se může tento fakt změnit.
Nezapomeňte, že nové nařízení se týká i dat, která se nacházejí mimo IT systémy (například excelové soubory na ploše vašich počítačů). Pro splnění nařízení GDPR musí firmy přijmout vlastní vnitřní koncepce a udělat požadované procesní změny tak, aby dodržovaly zásady ochrany osobních údajů.
5. Prověřte, zda všechno funguje
Po zavedení nových procesů, které jsou v souladu s nařízením GDPR, prověřte, zda nový systém funguje jak má. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Pokud dojde k porušení, je třeba vědět, kam a jak jej nahlásit. Vyzkoušejte si různé situace, ke kterým v budoucnosti může dojít. Nově především s právy, které GDPR ukládá občanům.
„Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. Pokud uzná za vhodné, může žádat u správce, aby došlo k vymazání veškerých jeho osobních údajů, a bude tedy tzv. „zapomenut“,” upřesnila Alice Kubíčková, ředitelka Komory právní odpovědnosti.
6. Proškolte svoje zaměstnance
Po zavedení systému správy osobních dat podle nařízení GDPR nezapomeňte na své interní i externí zaměstnance. Aby vše správně fungovalo, musí být proškoleni tak, aby data spravovali správně a předešlo se tak potenciálním sankcím. Není to pouze systém, ale i lidé, kteří jsou klíčovým faktorem, aby nově zavedené postupy ve firmě fungovaly.
„Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” dodala Kubíčková.
7. Mějte přehled o změnách
Ustanovením systému správy osobních dat vaše práce nekončí. Naopak. „Nařízení GDPR zcela jednoznačné není. Jeho výklad se bude postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více.” dodal Vavřínka.
Jak předejít krádeži firemních dat? Jak se bránit ransomwaru? Jak se připravit na GDPR? To je jen několik z řady...